发布者 Zevenet | 11 July，2022 | 技术

介绍

实现和维持的过程 PCI DSS 合规性 对任何组织来说都不容易。无论是大型组织、中型公司还是小型公司，PCI DSS 都可能是一项艰巨的任务，因为它包含一套全面的安全要求。实现合规性需要对支付安全框架和安全控制要求的实施有很好的理解。处理支付卡数据的组织应满足 PCI DSS 12 要求 以确保合规性并保护支付环境。这些要求可作为组织保护其网络和基础设施免受网络威胁和数据泄露的指导方针。在详细说明这些要求时，我们分享了一些有用的技巧来准备 PCI DSS 合规性审核.

了解 PCI DSS 合规性要求

PCI DSS 合规性 是由 PCI 安全标准委员会强制执行的安全标准和框架，专注于保护持卡人数据。该标准包括理事会概述的 12 项要求，重点关注保护敏感支付卡持卡人数据的技术和操作措施。组织应实施这些安全措施以实现和维护 PCI DSS 合规性. 因此，下面给出了简要说明的 12 项要求，以便更好地了解准备 PCI DSS 合规性的方法。

PCI DSS 要求 1： 安装和维护防火墙配置以保护持卡人数据
商家和服务提供商需要通过适当的防火墙和路由器配置来维护安全网络。这是为了保护卡数据环境并防止网络攻击。

PCI DSS 要求 2： 不要使用供应商为系统密码和其他安全参数提供的默认值
系统和软件带有默认密码和设置。因此，为确保安全，商家希望通过强大的安全密码和配置来确保组织的系统、网络和设备的硬化。此外，商家应记录系统强化程序并相应地遵循协议。

PCI DSS 要求 3：保护存储的持卡人数据
商户和服务提供商必须采取适当措施保护存储的持卡人数据。使用加密技术应保护 PAN 数据免受数据泄露

PCI DSS 要求 4：加密跨开放或公共网络的持卡人数据传输
商家应加密通过公共或开放网络传输的持卡人数据。此外，他们应确保安全政策程序和流程到位，以执行安全措施和加密要求。

PCI DSS 要求 5：使用和更新防病毒软件或程序
商家应通过在设备和应用程序上安装最新的防病毒软件来保持其系统和应用程序的更新和安全。这是为了确保防止恶意软件和其他网络攻击。

PCI DSS 要求 6：开发和维护安全系统和应用程序
审查安全实施并安装安全补丁以降低风险至关重要。定期更新这些安全补丁对于防止潜在的黑客攻击风险至关重要。商户需要为卡数据环境中的所有系统打补丁，并在开发的各个阶段实施安全措施。此外，必须制定流程以发现系统和应用程序中的新漏洞。

PCI DSS 要求 7：按需要了解的业务限制对持卡人数据的访问
商户必须实施严格的访问控制，以限制对持卡人数据的访问。这可以防止未经授权访问敏感卡数据以及数据泄露或被盗的潜在风险。为此，必须建立必要的流程，以确保根据业务需要限制对持卡人数据的访问。

PCI DSS 要求 8： 识别和验证对系统组件的访问
必须定期跟踪和监控对系统和数据的访问。作为强大的安全控制措施的一部分，必须为每个授权员工分配一个唯一的 ID。这是为了跟踪在卡环境中访问系统和数据的活动，以保持问责制

PCI DSS 要求 9： 限制对持卡人数据的物理访问
限制对持卡人数据的物理访问是实施安全控制措施的重要组成部分。这需要实施现场访问控制、监控日志以及制定必要的安全策略和流程。此外，商家需要使用物理安全措施保护所有设备和系统，并维护所有数据的备份。

PCI DSS 要求 10： 跟踪和监控对网络资源和持卡人数据的所有访问
PCI DSS 需要对所有接入点进行实时跟踪和驱动，包括包含卡数据的系统和网络。这是为了识别和防止利用对卡数据环境的漏洞和威胁。对于日志的这种植入，管理对于定期跟踪活动是必不可少的。

PCI DSS 要求 11： 定期测试安全系统和流程
定期执行漏洞评估和渗透测试对于测试所有系统进程的漏洞至关重要。这是为了确保和维护卡数据环境中的恒定安全级别。必须经常测试所有系统和流程，以确保始终保持数据安全。

PCI DSS 要求 12： 维护解决所有人员信息安全问题的政策
从执行的角度来看，创建和维护解决信息安全流程的策略是必要的。每个员工和第三方供应商都应该有权访问这些政策，以更好地了解他们的责任。此外，必须每年审查信息安全政策，以使商户的网络安全计划与 PCI DSS 的要求保持一致。

既然我们知道了实现 PCI DSS 需要实施的技术和运营要求，让我们看看组织可以如何准备 PCI DSS 合规性审核。

准备 PCI DSS 审核的步骤

准备 PCI DSS 合规性审核可能会非常有压力。它需要细致的多轮评估审查和流程的实施，以确保最终审计取得成功。也就是说，这里有一些步骤可以用来准备 PCI DSS 审计 并确保它成功。

不要假设是合规的—— PCI DSS 合规性要求通常由 PCI 委员会更新。这些更新基于行业中不断发展的技术和威胁形势。随着最新版本的 数据安全标准 4.0 定于 1 年第一季度发布，组织需要对理事会引入和执行的新要求保持警惕。无论您之前是否符合 PCI DSS，只有即将进行的审核会建议您是否继续保持合规。合规审计是一项评估，以验证所有安全措施是否已实施并符合最新的数据安全要求。因此，假设您根据之前的 PCI DSS 审核合规，这可能是您的组织在即将进行的审核中不合规的原因。

合规差距分析 – 如果您的组织是第一次接受 PCI DSS 评估，那么确定您的合规级别在“现状”基础上的位置、您的主要差距以及所需的投资是非常重要的。为此，您的组织必须立即继续根据 PCI DSS 合规性要求进行差距分析。这是为了评估和验证要求中的不足之处，并努力弥合系统中的差距。 PCI DSS 是一个持续的过程，需要定期审查和更新政策程序和流程，以使业务运营与安全标准和网络安全目标保持一致。因此，进行差距分析并纠正潜在的合规差距至关重要，尤其是在最终审核之前以确保 PCI DSS 合规性。同样，这不仅是从合规性的角度来看，而且是从加强系统、网络和基础设施的安全性的角度来看。

满足所有 PCI DSS 要求 – 组织需要确保他们已满足 PCI DSS 框架中列出的所有 12 项要求，以确保符合安全标准框架。了解要求及其影响对于组织实施必要的合规措施至关重要。所有要求都必须在适用的情况下完全满足。未能满足这些要求中的任何一项都可能导致审核失败和不符合 PCI DSS。因此，必须满足 12 项要求，并在组织的卡数据环境中实施所有必要的安全措施。

创建网络和数据流程图 - 组织必须创建和维护准确的网络图，以了解整个组织的网络连接以及整个组织网络中的卡数据流。这可以深入了解处理卡数据的组织的网络和系统，包括存储、处理和传输卡数据。创建具有数据流程图的可视化表示的网络图，以反映您的组织流程和敏感卡数据的流动，有助于识别操作中的缺陷。因此，基于如此详细的网络图，组织可以优先考虑跨系统、应用程序、网络和所有处理卡数据的访问点的安全措施。

风险评估 - 风险评估是任何合规和网络安全计划的重要组成部分。组织确定并了解他们正在处理的风险敞口是很重要的。评估风险并根据严重性对风险暴露级别进行分类对于企业确定其安全实施的优先级至关重要。为此，组织必须每年进行一次风险评估，以确定面临威胁和漏洞的关键资产。此类评估可帮助组织采取积极措施，以保护其系统网络和数据免受不断发展的网络威胁。它还有助于不断地将他们的网络安全计划与 PCI DSS 要求保持一致。

文件政策和流程 – 有关合规政策、流程、程序以及供应商合同和协议的文件需要保持最新并不时更新。保留所有相关文件作为 PCI DSS 审核的证据至关重要。这些文件应包括所有实施的安全措施、程序和流程，以强制实施组织内建立的合规策略。此类记录清楚地显示了组织为实施和维护 PCI DSS 合规性所做的努力。 PCI DSS 审计涉及验证与政策实施相关的程序、政策和记录相关的文件。因此，组织必须确保所有文档都得到更新并与日常运营保持一致。同样重要的是要注意，政策、程序或操作过程的任何变化都需要记录在案并定期在记录中更新。

第三方供应商合规 – 尽管组织将数据处理活动外包给第三方供应商，但确保它们合规仍然是他们的责任。商家需要确保与他们打交道的第三方供应商了解他们的责任并按照 PCI DSS 要求处理数据。未能确保其合规性也可能导致您的组织数据泄露和不遵守 PCI DSS。如果没有采取必要的措施来监控他们的活动，这将使组织付出巨大的代价。由于这些涉及第三方供应商和其他利益相关者的合规性和网络安全的原因，该计划至关重要。

进行内部评估—— 不时进行内部评估对于识别流程中的差距和系统中的弱点至关重要。这有助于补救过程并弥合合规计划中的差距。进行年度内部评估至关重要，因为它可以使最终的 PCI DSS 合规审核变得轻松自如。通过在最终评估之前进行此类预评估和内部审计，组织将更有可能实现 PCI DSS 合规性。组织将准备好必要的文件作为证据，并已实施确保 PCI DSS 合规性所需的安全措施。

最后的想法
PCI DSS 合规性对于支付卡行业的商户和服务提供商来说是不可避免的。他们需要不断确保满足所有要求，并确保始终遵守支付安全标准和框架。出于这些原因，我们强烈建议组织考虑聘请专业且经验丰富的合规顾问和审计师，以确保其合规计划步入正轨并符合 PCI DSS 要求。由经验丰富的专业人员进行的定期内部审计和评估反映了您的组织对保护卡数据和环境的承诺和努力，并反映了他们为履行保护敏感数据的合规义务而采取的主动方法和举措。